Session Management / Quản lý phiên
Establish how session management is handled in the application (eg, tokens in cookies, token in URL) / Xác định cách quản lý phiên được xử lý trong ứng dụng (ví dụ: token trong cookie, token trong URL) Check session tokens for cookie flags (httpOnly and secure) / Kiểm tra cờ cookie cho token phiên (httpOnly và bảo mật) Check session cookie scope (path and domain) / Kiểm tra phạm vi cookie phiên (đường dẫn và tên miền) Check session cookie duration (expires and max-age) / Kiểm tra thời gian tồn tại của cookie phiên (hết hạn và tuổi tối đa) Check session termination after a maximum lifetime / Kiểm tra việc kết thúc phiên sau thời gian tồn tại tối đa Check session termination after relative timeout / Kiểm tra việc kết thúc phiên sau khi hết thời gian chờ Check session termination after logout / Kiểm tra việc kết thúc phiên sau khi đăng xuất Test to see if users can have multiple simultaneous sessions / Kiểm tra xem người dùng có thể có nhiều phiên đồng thời hay không Test session cookies for randomness / Kiểm tra sự ngẫu nhiên của cookie phiên Confirm that new session tokens are issued on login, role change and logout / Xác nhận rằng token phiên mới được cấp khi đăng nhập, thay đổi vai trò và đăng xuất Test for consistent session management across applications with shared session management / Kiểm tra tính nhất quán của quản lý phiên giữa các ứng dụng với quản lý phiên chung Test for session puzzling / Kiểm tra sự lừa dối phiên Test for CSRF and clickjacking / Kiểm tra CSRF và clickjacking
Authorization / Ủy quyền
Test for path traversal / Kiểm tra xâm nhập đường dẫn Test for bypassing authorization schema / Kiểm tra việc bỏ qua sơ đồ ủy quyền Test for vertical access control problems (a.k.a. Privilege Escalation) / Kiểm tra các vấn đề kiểm soát truy cập theo chiều dọc (còn gọi là leo thang đặc quyền) Test for horizontal access control problems (between two users at the same privilege level) / Kiểm tra các vấn đề kiểm soát truy cập theo chiều ngang (giữa hai người dùng cùng mức đặc quyền) Test for missing authorization / Kiểm tra thiếu ủy quyền
Data Validation / Xác thực dữ liệu
Test for Reflected Cross Site Scripting / Kiểm tra kịch bản chéo phản chiếu Test for Stored Cross Site Scripting / Kiểm tra kịch bản chéo lưu trữ Test for DOM based Cross Site Scripting / Kiểm tra kịch bản chéo dựa trên DOM Test for Cross Site Flashing / Kiểm tra lừa đảo trang web chéo Test for HTML Injection / Kiểm tra chèn HTML Test for SQL Injection / Kiểm tra chèn SQL Test for LDAP Injection / Kiểm tra chèn LDAP Test for ORM Injection / Kiểm tra chèn ORM Test for XML Injection / Kiểm tra chèn XML Test for XXE Injection / Kiểm tra chèn XXE Test for SSI Injection / Kiểm tra chèn SSI Test for XPath Injection / Kiểm tra chèn XPath Test for XQuery Injection / Kiểm tra chèn XQuery Test for IMAP/SMTP Injection / Kiểm tra chèn IMAP/SMTP Test for Code Injection / Kiểm tra chèn mã Test for Expression Language Injection / Kiểm tra chèn ngôn ngữ biểu thức Test for Command Injection / Kiểm tra chèn lệnh Test for Overflow (Stack, Heap and Integer) / Kiểm tra tràn (Ngăn xếp, Heap và số nguyên) Test for Format String / Kiểm tra chuỗi định dạng Test for incubated vulnerabilities / Kiểm tra lỗ hổng đã được nuôi dưỡng Test for HTTP Splitting/Smuggling / Kiểm tra chia tách/ăn cắp HTTP Test for HTTP Verb Tampering / Kiểm tra thay đổi động từ HTTP Test for Open Redirection / Kiểm tra chuyển hướng mở Test for Local File Inclusion / Kiểm tra bao gồm tập tin cục bộ Test for Remote File Inclusion / Kiểm tra bao gồm tập tin từ xa Compare client-side and server-side validation rules / So sánh các quy tắc xác thực phía máy khách và máy chủ Test for NoSQL injection / Kiểm tra chèn NoSQL Test for HTTP parameter pollution / Kiểm tra ô nhiễm tham số HTTP Test for auto-binding / Kiểm tra tự động liên kết Test for Mass Assignment / Kiểm tra gán hàng loạt Test for NULL/Invalid Session Cookie / Kiểm tra cookie phiên NULL/Không hợp lệ
Denial of Service / Từ chối dịch vụ
Test for anti-automation / Kiểm tra chống tự động hóa Test for account lockout / Kiểm tra khóa tài khoản Test for HTTP protocol DoS / Kiểm tra từ chối dịch vụ giao thức HTTP Test for SQL wildcard DoS / Kiểm tra từ chối dịch vụ ký tự đại diện SQL
Business Logic / Logic nghiệp vụ
Test for feature misuse / Kiểm tra lạm dụng tính năng Test for lack of non-repudiation / Kiểm tra thiếu tính không thể chối bỏ Test for trust relationships / Kiểm tra mối quan hệ tin cậy Test for integrity of data / Kiểm tra tính toàn vẹn của dữ liệu Test segregation of duties / Kiểm tra phân tách nhiệm vụ
Cryptography / Mã hóa
Check if data which should be encrypted is not / Kiểm tra xem dữ liệu cần được mã hóa có không Check for wrong algorithms usage depending on context / Kiểm tra việc sử dụng sai thuật toán tùy theo ngữ cảnh Check for weak algorithms usage / Kiểm tra việc sử dụng thuật toán yếu Check for proper use of salting / Kiểm tra việc sử dụng đúng cách salting Check for randomness functions / Kiểm tra các hàm ngẫu nhiên
Risky Functionality - File Uploads / Chức năng rủi ro - Tải lên tập tin
Test that acceptable file types are whitelisted / Kiểm tra rằng các loại tập tin chấp nhận được nằm trong danh sách trắng Test that file size limits, upload frequency and total file counts are defined and are enforced / Kiểm tra rằng giới hạn kích thước tập tin, tần suất tải lên và tổng số lượng tập tin được định nghĩa và thực thi Test that file contents match the defined file type / Kiểm tra rằng nội dung tập tin khớp với loại tập tin được định nghĩa Test that all file uploads have Anti-Virus scanning in-place / Kiểm tra rằng tất cả các tập tin tải lên đều có quét virus Test that unsafe filenames are sanitized / Kiểm tra rằng tên tập tin không an toàn được làm sạch Test that uploaded files are not directly accessible within the web root / Kiểm tra rằng các tập tin tải lên không thể truy cập trực tiếp trong gốc web Test that uploaded files are not served on the same hostname/port / Kiểm tra rằng các tập tin tải lên không được phục vụ trên cùng tên miền/port Test that files and other media are integrated with the authentication and authorization schemas / Kiểm tra rằng các tập tin và phương tiện khác được tích hợp với các sơ đồ xác thực và ủy quyền
Risky Functionality - Card Payment / Chức năng rủi ro - Thanh toán bằng thẻ
Test for known vulnerabilities and configuration issues on Web Server and Web Application / Kiểm tra các lỗ hổng và vấn đề cấu hình đã biết trên Máy chủ Web và Ứng dụng Web Test for default or guessable password / Kiểm tra mật khẩu mặc định hoặc có thể đoán được Test for non-production data in live environment, and vice-versa / Kiểm tra dữ liệu không sản xuất trong môi trường thực, và ngược lại Test for Injection vulnerabilities / Kiểm tra các lỗ hổng chèn Test for Buffer Overflows / Kiểm tra tràn bộ đệm Test for Insecure Cryptographic Storage / Kiểm tra lưu trữ mã hóa không an toàn Test for Insufficient Transport Layer Protection / Kiểm tra bảo vệ lớp truyền tải không đủ Test for Improper Error Handling / Kiểm tra xử lý lỗi không đúng cách Test for all vulnerabilities with a CVSS v2 score > 4.0 / Kiểm tra tất cả các lỗ hổng có điểm CVSS v2 > 4.0 Test for Authentication and Authorization issues / Kiểm tra các vấn đề xác thực và ủy quyền Test for CSRF / Kiểm tra CSRF
HTML 5
Test Web Messaging / Kiểm tra nhắn tin Web Test for Web Storage SQL injection / Kiểm tra chèn SQL lưu trữ Web Check CORS implementation / Kiểm tra triển khai CORS Check Offline Web Application / Kiểm tra Ứng dụng Web Ngoại tuyến
Session Management / Quản lý phiên
Establish how session management is handled in the application (eg, tokens in cookies, token in URL) / Xác lập cách thức quản lý phiên được xử lý trong ứng dụng (ví dụ: mã thông báo trong cookie, mã thông báo trong URL) Check session tokens for cookie flags (httpOnly and secure) / Kiểm tra mã thông báo phiên cho cờ cookie (httpOnly và an toàn) Check session cookie scope (path and domain) / Kiểm tra phạm vi cookie phiên (đường dẫn và miền) Check session cookie duration (expires and max-age) / Kiểm tra thời lượng cookie phiên (hết hạn và tuổi tối đa) Check session termination after a maximum lifetime / Kiểm tra chấm dứt phiên sau một thời gian tối đa Check session termination after relative timeout / Kiểm tra chấm dứt phiên sau thời gian chờ tương đối Check session termination after logout / Kiểm tra chấm dứt phiên sau khi đăng xuất Test to see if users can have multiple simultaneous sessions / Kiểm thử xem người dùng có thể có nhiều phiên đồng thời hay không Test session cookies for randomness / Kiểm thử cookie phiên cho tính ngẫu nhiên Confirm that new session tokens are issued on login, role change and logout / Xác nhận rằng mã thông báo phiên mới được cấp khi đăng nhập, thay đổi vai trò và đăng xuất Test for consistent session management across applications with shared session management / Kiểm thử quản lý phiên nhất quán trên các ứng dụng có sử dụng quản lý phiên dùng chung Test for session puzzling / Kiểm thử xáo trộn phiên Test for CSRF and clickjacking / Kiểm thử CSRF và clickjacking
Authorization / Ủy quyền
Test for path traversal / Kiểm thử đi qua đường dẫn Test for bypassing authorization schema / Kiểm thử vượt qua lược đồ ủy quyền Test for vertical Access control problems (a.k.a. Privilege Escalation) / Kiểm thử vấn đề kiểm soát truy cập dọc (còn gọi là Nâng cao đặc quyền) Test for horizontal Access control problems (between two users at the same privilege level) / Kiểm thử vấn đề kiểm soát truy cập ngang (giữa hai người dùng cùng cấp độ đặc quyền) Test for missing authorization / Kiểm thử thiếu ủy quyền
Data Validation / Kiểm tra dữ liệu
Test for Reflected Cross Site Scripting / Kiểm thử Reflected XSS Test for Stored Cross Site Scripting / Kiểm thử Stored XSS Test for DOM based Cross Site Scripting / Kiểm thử DOM XSS Test for Cross Site Flashing / Kiểm thử Cross Site Flashing Test for HTML Injection / Kiểm thử Injection HTML Test for SQL Injection / Kiểm thử SQL Injection Test for LDAP Injection / Kiểm thử LDAP Injection Test for ORM Injection / Kiểm thử ORM Injection Test for XML Injection / Kiểm thử XML Injection Test for XXE Injection / Kiểm thử XXE Injection Test for SSI Injection / Kiểm thử SSI Injection Test for XPath Injection / Kiểm thử XPath Injection Test for XQuery Injection / Kiểm thử XQuery Injection Test for IMAP/SMTP Injection / Kiểm thử IMAP/SMTP Injection Test for Code Injection / Kiểm thử Injection Code Test for Expression Language Injection / Kiểm thử Injection Ngôn ngữ Biểu thức Test for Command Injection / Kiểm thử Command Injection Test for Overflow (Stack, Heap and Integer) / Kiểm thử Tràn (Ngăn xếp, Đống và Số nguyên) Test for Format String / Kiểm thử Chuỗi Định dạng Test for incubated vulnerabilities / Kiểm thử lỗ hổng đang ủ bệnh Test for HTTP Splitting/Smuggling / Kiểm thử Tách/Buôn lậu HTTP Test for HTTP Verb Tampering / Kiểm thử Giả mạo Động từ HTTP Test for Open Redirection / Kiểm thử Đổi hướng Trống Test for Local File Inclusion / Kiểm thử Đưa File Cục bộ vào Test for Remote File Inclusion / Kiểm thử Đưa File Từ xa vào Compare client-side and server-side validation rules / So sánh luật kiểm tra phía client và phía server Test for NoSQL Injection / Kiểm thử NoSQL Injection Test for HTTP parameter pollution / Kiểm thử Ô nhiễm tham số HTTP Test for auto-binding / Kiểm thử tự liên kết Test for Mass Assignment / Kiểm thử Gán hàng loạt Test for NULL/Invalid Session Cookie / Kiểm thử Cookie Phiên NULL/Không hợp lệ